DFN-CERT

Advisory-Archiv

2020-0852: GNU Mailman: Eine Schwachstelle ermöglicht einen Cross-Site-Scripting-Angriff

Historie:

Version 1 (2020-04-27 17:45)
Neues Advisory
Version 2 (2020-05-04 09:45)
Für Debian 8 Jessie (LTS) steht ein Sicherheitsupdate für 'mailman' auf Version 1:2.1.18-2+deb8u5 zur Behebung der Schwachstelle zur Verfügung.
Version 3 (2020-05-05 18:43)
Für die SUSE Linux Enterprise Produkte Debuginfo 11 SP3 und 11 SP4 sowie Server 11 SP4 LTSS stehen Sicherheitsupdates für 'mailman' zur Verfügung, um die Schwachstelle zu beheben. Für Fedora 31 steht ein Sicherheitsupdate in Form des Pakets 'mailman-2.1.30-1.fc31' bereit, welches sich derzeit noch im Status 'pending' befindet.
Version 4 (2020-05-07 10:21)
Für Fedora 32 steht ein Sicherheitsupdate zur Behebung der Schwachstelle in 'mailman' im Status 'testing' bereit. Die betroffene Software wird damit auf Version 2.1.32 aktualisiert.
Version 5 (2020-11-05 12:00)
Für Red Hat Enterprise Linux 8 (x86_64, aarch64) stehen Sicherheitsupdates zur Behebung der Schwachstelle im 'mailman:2.1'-Modul bereit. Diese Updates werden im Zusammenhang mit der Veröffentlichung von Red Hat Enterprise Linux 8.3 zur Verfügung gestellt.

Betroffene Software

Office
Server

Betroffene Plattformen

Linux

Beschreibung:

Ein entfernter Angreifer kann einen Stored Cross-Site-Scriping (XSS)-Angriff durchführen. Ein erfolgreicher Angriff erfordert die Interaktion eines Benutzers und kann Einfluss auf andere Komponenten betroffener Systeme haben.
 
Der Hersteller stellt die Version 2.1.30 als Sicherheitsupdate bereit, um die Schwachstelle zu beheben.

Debian stellt für die alte stabile Distribution Stretch und die stabile Distribution Buster Backport-Sicherheitsupdates bereit, wodurch die Schwachstelle geschlossen wird.

Schwachstellen:

CVE-2020-12137

Schwachstelle in GNU Mailman ermöglicht Cross-Site-Scripting-Angriff

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.